Microsoft Windows Defender ATP вилучає шпигунське програмне забезпечення для правопорядку

Microsoft Windows Defender ATP вилучає шпигунське програмне забезпечення для правопорядку

Корпорація Майкрософт оголосила про те, що її захист від Windows Defender Advanced Protection Threat Protection (ATP) є достатнім для виявлення зловмисного програмного забезпечення, створеного FinFisher. FinFisher, також відомий як FinSpy, є законним програмним забезпеченням, створено компанією FinFisher GmbH, що розташована в Німеччині. Він проданий лише урядам і використовується різними правоохоронними органами для розповсюдження шкідливих програм, призначених для різних цілей. Як і слід було очікувати, це набагато більш цілеспрямоване, індивідуальне і краще написане, ніж типове програмне забезпечення для шкідливих програм.

Корпорація Майкрософт пише, що FinFisher надає повнофункціональне користування інструкціями небажаного споживання, кодом спагетті (коду, що не має структури), декількома віртуальними машинами, багаторазовими рівнями анти-налагоджувальних та оборонних заходів та різними іншими хитрощами. Цей код навмисно розроблений, щоб ви не зрозуміли, що воно працює, і MS використовував глибоке вивчення FinFisher для розробки рішень у Windows 10 ATP. Отриманий опис - відмінне вивчення поведінки шкідливого ПЗ від першої зустрічі до інсталяції. Програмне забезпечення також призначене для виявлення того, коли воно працює в пісочниці або VM для аналізу. Microsoft пише:

Завантажувач спочатку динамічно перебудовує простий таблицю адрес імпорту (IAT), вирішуючи весь API, необхідний бібліотекам Kernel32 та NtDll. Потім він продовжує виконувати в порожній новій гілці, яка перевіряє наявність додаткових небажаних модулів всередині власного віртуального адресного простору (наприклад, модулів, введених певними рішеннями безпеки). Вона врешті-решт забирає всі потоки, що належать до цих небажаних модулів ... [Це] завантажувач створює повний IAT, читаючи чотири імпортовані бібліотеки з диска (ntdll.dll, kernel32.dll, advapi32.dll та version.dll) і переміщуючи їх у пам'ять Ця методика робить використання відладчиків та програмних точок зупинки марними. На цьому етапі завантажувач може також викликати певний API, використовуючи національні системні виклики, що є ще одним способом обійти точки затримки в API та рішеннях безпеки, що використовують гачки.
Завантажувач спочатку динамічно перебудовує простий таблицю адрес імпорту (IAT), вирішуючи весь API, необхідний бібліотекам Kernel32 та NtDll. Потім він продовжує виконувати в порожній новій гілці, яка перевіряє наявність додаткових небажаних модулів всередині власного віртуального адресного простору (наприклад, модулів, введених певними рішеннями безпеки). Вона врешті-решт забирає всі потоки, що належать до цих небажаних модулів ... [Це] завантажувач створює повний IAT, читаючи чотири імпортовані бібліотеки з диска (ntdll.dll, kernel32.dll, advapi32.dll та version.dll) і переміщуючи їх у пам'ять Ця методика робить використання відладчиків та програмних точок зупинки марними. На цьому етапі завантажувач може також викликати певний API, використовуючи національні системні виклики, що є ще одним способом обійти точки затримки в API та рішеннях безпеки, що використовують гачки.

Завантажувач спочатку динамічно перебудовує простий таблицю адрес імпорту (IAT), вирішуючи весь API, необхідний бібліотекам Kernel32 та NtDll. Потім він продовжує виконувати в порожній новій гілці, яка перевіряє наявність додаткових небажаних модулів всередині власного віртуального адресного простору (наприклад, модулів, введених певними рішеннями безпеки). Вона врешті-решт забирає всі теми, які належать до цих небажаних модулів ...

[T] він завантажувач створює повний IAT, читаючи чотири імпортовані бібліотеки з диска (ntdll.dll, kernel32.dll, advapi32.dll і version.dll) і переміщуючи їх у пам'ять. Ця методика робить використання відладчиків та програмних точок зупинки марними. На цьому етапі завантажувач може також викликати певний API, використовуючи національні системні виклики, що є ще одним способом обійти точки затримки в API та рішеннях безпеки, що використовують гачки.

Залишається бачити, чи зможе FinFisher обробити роботу, яку Microsoft зробила тут. Вся проблема є прикладом того, як безпека ПК та IoT назавжди гратимуть нагоду з чорними шапками. Це може зайняти кілька тижнів або місяців компанії з безпеки, щоб усунути недоліки безпеки або додати критичні можливості виявлення до сучасного програмного забезпечення. Тоді знову рухається Team Black, за винятком прямого повідомлення, коли вони "завершують" рух. Ми ще не знаємо, чи рішення Microsoft є досить гнучким, щоб ловити еволюційні ітерації, які можуть послабити його драгету.

І, звичайно, цей рівень захисту доступний лише для бізнесу та підприємств - ATP не закупорюється в звичайні продукти Windows. Не зовсім зрозуміло, наскільки новий або сучасний FinFisher є, дає звіт про дату шкідливого програмного забезпечення ще у 2015 році. Якщо продукт все ще швидко оновлюється, поточна розбивка може бути корисною. Якщо ні, це може мати більше академічних інтересів, ніж найсучасніший посібник із сучасних практик.

Якщо б ви 10 років тому сказали мені, що прийде 2018 рік, Microsoft відкрито обговорить, як його антивірусне програмне забезпечення було достатньо для того, щоб зловити зловмисне програмне забезпечення, розгорнуте правоохоронними органами, я вважав би, що ти жартуєш. Такі часи ми живемо.